Nexus Güvenlik Bülteni - Eylül 2015

9 Eylül 2015'te yayınlandı

Android Güvenlik Bülteni Aylık Sürüm sürecimizin (LMY48M Oluşturma) bir parçası olarak kablosuz (OTA) güncelleme yoluyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus cihazlarına yönelik güncellemeler ve bu sorunlara yönelik kaynak kodu yamaları da Android Açık Kaynak Projesi (AOSP) kaynak deposunda yayınlandı. Bu sorunlardan en ciddi olanı, etkilenen cihazda uzaktan kod yürütülmesine olanak verebilecek Kritik bir güvenlik açığıdır.

Nexus donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. LMY48M veya üzeri sürümler bu sorunları giderir. İş ortakları bu sorunlarla ilgili olarak 13 Ağustos 2015'te veya daha önce bilgilendirildi.

Yeni bildirilen sorunların müşteri tarafından istismar edildiğini tespit etmedik. Bunun istisnası mevcut sorundur (CVE-2015-3636). Güvenlik açıklarının Android'de başarıyla kullanılması olasılığını azaltan Android güvenlik platformu korumaları ve SafetyNet gibi hizmet korumalarıyla ilgili ayrıntılar için Azaltıcı Önlemler bölümüne bakın.

Her iki Kritik güvenlik güncellemesinin de (CVE-2015-3864 ve CVE-2015-3686) halihazırda açıklanan güvenlik açıklarını hedef aldığını lütfen unutmayın. Bu güncellemede yeni açıklanan Kritik güvenlik açıkları bulunmamaktadır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.

Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.

Azaltmalar

Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltımların bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
  • Android Güvenlik ekibi, yüklenmek üzere olan potansiyel zararlı uygulamalar hakkında uyarı verecek olan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Cihaz rootlama araçları Google Play'de yasaktır. Google Play dışından uygulama yükleyen kullanıcıları korumak için Uygulamaları Doğrula özelliği varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları konusunda uyarır. Uygulamaları Doğrula, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve yüklemesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve bu tür uygulamaları kaldırmaya çalışacaktır.
  • Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medya sunucusu gibi işlemlere otomatik olarak medya aktarmamaktadır.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür ederiz:

  • Exodus Intelligence'dan Jordan Gruskovnjak (@jgrusko): CVE-2015-3864
  • Michal Bednarski: CVE-2015-3845
  • Qihoo 360 Technology Co. Ltd'den Guang Gong (@oldfresher): CVE-2015-1528, CVE-2015-3849
  • Brennan Lautner: CVE-2015-3863
  • jgor (@indiecom): CVE-2015-3860
  • Trend Micro Inc.'den Wish Wu (@wish_wu): CVE-2015-3861

Güvenlik Açığı Ayrıntıları

Aşağıdaki bölümlerde bu bültendeki güvenlik açıklarının her birine ilişkin ayrıntılar sunuyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE, ilgili hata, önem derecesi, etkilenen sürümler ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağladık. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları hata kimliğini takip eden numaralara bağlanır.

Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı

Medya dosyası ve özel hazırlanmış bir dosyanın verilerinin işlenmesi sırasında, medya sunucusundaki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olmasına olanak verebilir.

Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanmaktadır ve başta MMS ve medyanın tarayıcıda oynatılması olmak üzere, bu işlevselliğe uzak içerikle erişilmesine olanak tanıyan çok sayıda uygulama vardır.

Bu sorun, medya sunucusu hizmeti bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Mediaserver hizmetinin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.

Bu sorun daha önce bildirilen CVE-2015-3824 (ANDROID-20923261) ile ilgilidir. Orijinal güvenlik güncelleştirmesi, başlangıçta bildirilen bu sorunun bir çeşidini gidermek için yeterli değildi.

CVE AOSP bağlantılarıyla ilgili hata Şiddet Etkilenen Sürümler
CVE-2015-3864 ANDROID-23034759 Kritik 5.1 ve altı

Çekirdekte Yükselme Ayrıcalığı Güvenlik Açığı

Linux çekirdeğinin ping yuvalarını işlemesindeki ayrıcalık yükselmesi güvenlik açığı, kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod çalıştırmasına izin verebilir.

Bu sorun, cihaz korumalarını atlayabilen ayrıcalıklı bir hizmette kod yürütme olasılığı nedeniyle Kritik önem derecesine sahip olarak derecelendirilmiştir; bu durum bazı cihazlarda kalıcı güvenlik ihlaline yol açma potansiyeline sahiptir (örn. sistem bölümünün yeniden yanıp sönmesini gerektirir).

Bu sorun ilk olarak 01 Mayıs 2015'te kamuya açık olarak tespit edildi. Bu güvenlik açığından yararlanma, cihaz sahibi tarafından cihazındaki donanım yazılımını değiştirmek için kullanılabilecek bir dizi "köklendirme" aracına dahil edilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen Sürümler
CVE-2015-3636 ANDROID-20770158 Kritik 5.1 ve altı

Binder'da Ayrıcalık Güvenlik Açığı Yükselişi

Binder'daki bir ayrıcalık yükselmesi güvenlik açığı, kötü amaçlı bir uygulamanın, başka bir uygulamanın süreci bağlamında rastgele kod yürütmesine izin verebilir.

Bu sorun, kötü amaçlı bir uygulamanın üçüncü taraf uygulamalar tarafından erişilemeyen ayrıcalıklar elde etmesine olanak tanıdığı için Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen Sürümler
CVE-2015-3845 ANDROID-17312693 Yüksek 5.1 ve altı
CVE-2015-1528 ANDROID-19334482 [ 2 ] Yüksek 5.1 ve altı

Anahtar Deposunda Ayrıcalık Güvenlik Açığı Yükselişi

Anahtar Deposu'ndaki bir ayrıcalık yükselmesi güvenlik açığı, kötü amaçlı bir uygulamanın anahtar deposu hizmeti bağlamında rastgele kod yürütmesine izin verebilir. Bu, donanım destekli anahtarlar da dahil olmak üzere Keystore tarafından saklanan anahtarların yetkisiz kullanımına izin verebilir.

Bu sorun, üçüncü taraf bir uygulamanın erişemeyeceği ayrıcalıkları kazanmak için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen Sürümler
CVE-2015-3863 ANDROID-22802399 Yüksek 5.1 ve altı

Bölgede Ayrıcalık Zafiyetinin Artması

Bölgedeki bir ayrıcalık yükselmesi güvenlik açığı, bir hizmete kötü amaçlı bir mesaj oluşturulması yoluyla, kötü amaçlı bir uygulamanın hedef hizmet bağlamında rastgele kod çalıştırmasına izin verebilir.

Bu sorun, üçüncü taraf bir uygulamanın erişemeyeceği ayrıcalıkları kazanmak için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen Sürümler
CVE-2015-3849 ANDROID-20883006 [ 2 ] Yüksek 5.1 ve altı

SMS'de Ayrıcalık Yükselmesi güvenlik açığı, bildirimin atlanmasına olanak tanır

Android'in SMS mesajlarını işleme biçimindeki bir ayrıcalık yükselmesi güvenlik açığı, kötü amaçlı bir uygulamanın, premium tarifeli SMS uyarı bildirimini atlayan bir SMS mesajı göndermesine olanak sağlayabilir.

Bu sorun, üçüncü taraf bir uygulamanın erişemeyeceği ayrıcalıkları kazanmak için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen Sürümler
CVE-2015-3858 ANDROID-22314646 Yüksek 5.1 ve altı

Kilit Ekranında Ayrıcalık Güvenlik Açığı Yükselişi

Kilit Ekranı'ndaki bir ayrıcalık yükselmesi güvenlik açığı, kötü niyetli bir kullanıcının kilit ekranının çökmesine neden olarak kilit ekranını atlamasına olanak tanıyabilir. Bu sorun yalnızca Android 5.0 ve 5.1'de güvenlik açığı olarak sınıflandırılmaktadır. Sistem Kullanıcı Arayüzünün 4.4'te benzer şekilde kilit ekranından çökmesine neden olmak mümkün olsa da, ana ekrana erişilemiyor ve kurtarma için cihazın yeniden başlatılması gerekiyor.

Bu sorun, bir cihaza fiziksel erişimi olan birinin, cihazın sahibi izinleri onaylamadan üçüncü taraf uygulamaları yüklemesine olanak tanıdığı için Orta önem derecesi olarak derecelendirilmiştir. Ayrıca saldırganın iletişim verilerini, telefon kayıtlarını, SMS mesajlarını ve normalde "tehlikeli" düzeyde izinle korunan diğer verileri görüntülemesine de olanak tanıyabilir.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen Sürümler
CVE-2015-3860 ANDROID-22214934 Ilıman 5.1 ve 5.0

Mediaserver'da Hizmet Reddi Güvenlik Açığı

Medya sunucusundaki hizmet reddi güvenlik açığı, yerel bir saldırganın etkilenen cihaza erişimi geçici olarak engellemesine olanak tanıyabilir.

Kullanıcı, bu sorundan yararlanan kötü amaçlı bir uygulamayı kaldırmak için güvenli modda yeniden başlatabildiğinden, bu sorun Düşük önem derecesi olarak derecelendirilmiştir. Mediaserver'ın kötü amaçlı dosyayı web veya MMS üzerinden uzaktan işlemesine neden olmak da mümkündür; bu durumda mediaserver işlemi çöker ve cihaz kullanılabilir durumda kalır.

CVE AOSP bağlantılarıyla ilgili hatalar Şiddet Etkilenen Sürümler
CVE-2015-3861 ANDROID-21296336 Düşük 5.1 ve altı